computerwoche.de

Archiv

Internet-Sicherheit/IDS und IDR ermöglichen schnelle Reaktionen auf Angriffe

Alarmanlagen für das Firmennetz helfen dem Firewall-Administrator

30.07.1999
Von Stefan Wolf* Die Vielzahl an möglichen Internet-Diensten erhöht auch die Anzahl potentieller Schwachstellen. Sicherheitslücken in Betriebssystemen und Anwendungen kommen hinzu. All das erschwert die Administration einer wirksamen Firewall. Intrusion-Detection-Systeme (IDS) und Intrusion-Response-Systeme ermöglichen zumindest schnelle Reaktionen auf Angriffe.

Netzwerke werden immer komplexer. Auch wenn die Schutzmaßnahmen noch so ausgetüftelt sind - ein Restrisiko bleibt. Um so wichtiger ist es, einen Angriff auf das eigene Local Area Network (LAN) möglichst zeitnah zu erkennen.

Natürlich können Attacken auch durch die Analyse der Protokolldateien der betroffenen Rechner erkannt werden. Jedoch nehmen diese Dateien rasch an Umfang zu, so daß eine konsequente Kontrolle sehr personalaufwendig ist. Schon bei kleineren und mittleren Netzen fallen schnell täglich 10 oder mehr MB an Protokolldaten an. Zudem erschwert die wachsende Komplexität der Dateiformate und der Attacken die Arbeit. Um den Schaden bei einem erfolgreichen Angriff klein zu halten, muß dieser möglichst schnell entdeckt werden. Eine Analyse der Protokolldaten kann jedoch nur in regelmäßigen Abständen (beispielsweise täglich) erfolgen, so daß der Angreifer unter Umständen Stunden oder Tage unentdeckt sein Unwesen treiben kann. Er hat dann sogar genug Zeit, die Protokolldateien so zu manipulieren, daß sein Eindringen unentdeckt bleibt.

Intrusion-Detection-Systeme (IDS) versprechen hier Abhilfe. Sie überwachen ununterbrochen das Netz und/oder die Rechner und können so bei erkannten Angriffen sofort Alarm schlagen. Ein IDS kann direkt auf einem Rechner oder mit (mehreren) Agenten, die einer Zentrale "Bericht erstatten", realisiert werden. Dabei kann ein Angriff einerseits durch die Entdeckung spezieller Angriffssignaturen oder durch auffallende Anomalien erkannt werden.

Angriffssignaturen sind spezielle Muster im Datenstrom, die bei normalem Gebrauch des Netzes nicht auftreten sollten. Beispielsweise werden Attacken häufig durch Portscans eingeleitet: Im Normalfall wissen Programme, auf welchem Port sie Netzwerkdienste ansprechen können. Fragt ein Rechner nacheinander alle (oder sehr viele) Ports nach ihren Diensten ab, kann dies auf einen bevorstehenden Angriff hindeuten. Diese Art der Erkennung arbeitet schon heute relativ zuverlässig. Allerdings können so nur Angriffe erkannt werden, für die Signaturen vorher gespeichert wurden, die also bereits bekannt sind. Dazu muß die Signaturdatenbank, ähnlich wie die Datenbank eines Virenscanners, ständig aktualisiert werden. Bislang noch nicht aufgetretene (oder in die jeweilige Datenbank noch nicht eingetragene) Angriffsszenarien können nicht erkannt werden.

Auf Anomalie-Erkennung basierende IDS hingegen können feststellen, daß das LAN oder der Internet-Zugang auf ungewöhnliche Weise genutzt wird. Es muß dazu zunächst im störungsfreien Betrieb den "Normalzustand" erlernen. Typisch ist beispielsweise die Auslastung bestimmter Server abhängig von der Tageszeit. Auch nutzen Mitarbeiter häufig nur einzelne Dienste oder arbeiten immer zur selben Zeit. Abweichungen von diesem Normalzustand können als Angriff gewertet und von einem IDS automatisch erkannt werden. Allerdings arbeiten diese Anomalie-Erkennungssysteme noch nicht zuverlässig genug, so daß einerseits Attacken nicht erkannt werden und an- dererseits mit Fehlalarmen zu rechnen ist. Problematisch ist nicht nur die Definition des Normalzustands, sondern auch wie stark die Abweichungen davon sein müssen, um zum Alarm zu führen.

Während IDS den Systemadministrator auf verschiedenen Wegen alarmieren, gehen Intrusion-Response-Systeme (IRS) einen Schritt weiter und leiten automatisiert Gegenmaßnahmen ein. Sie können zum Beispiel die Übertragung einzelner Dienste über die Firewall abschalten oder einzelne Rechner oder das gesamte Firmennetz vom Internet trennen. Vor einem automatisierten Gegenangriff frei nach dem Motto "Angriff ist die beste Verteidigung" kann aber nur abgeraten werden. Neben rechtlichen Bedenken gegen derartige Selbstjustiz wird man in Erklärungsnotstand geraten, wenn der Angreifer von einem vorher gekaperten Rechner angreift oder gefälschte Internet-Adressen benutzt.

Auch wenn Intrusion-Detec- tion-Systeme heute bereits eine große Hilfe bei der Überwachung eines LANs darstellen, bleibt eine manuelle Kontrolle der Protokolldateien durch die Firewall-Administratoren notwendig, da durchaus Angriffsszenarien denkbar sind, die automatisiert nicht festgestellt werden können.

*Stefan Wolf ist Referent im Referat V 7, Sicherheit im Internet und Intranet, im Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn.